Los internautas en un mundo cada vez más digital nos enfrentamos a numerosos peligros. Por ese motivo, además de estar protegidos debemos estar bien informados. En ese aspecto los usuarios tenemos que lidiar con virus, troyanos, gusanos informáticos y otro tipo de malware. Los que han adquirido sin duda un gran protagonismo en 2021 son los ataques de Phishing y ransomware. En este artículo vamos a hablar de un nuevo ransomware que con ciertos trucos, elude todas las defensas de tu ordenador, ¿quieres saber cómo lo hace?
Este ransomware evade todas las defensas
Un ataque de ransomware tiene sus fases que terminan con el movimiento lateral y finalmente impacto. Tras el ataque veremos cómo se han cifrado nuestros archivos, perdemos el acceso a ellos y nos van a pedir el pago de un rescate. El protagonista de hoy es AvosLocker un nuevo ransomware que con ciertos trucos simples es capaz de evadir el software de seguridad que tengas instalado en el ordenador.
La firma de seguridad Sophos ha descubierto que tras este ransomware está una banda que surgió este verano y que está buscando socios. Por ejemplo, ya están vendiendo acceso a máquinas ya pirateadas, por lo que puede ser un buen filón para los ciberdelincuentes.
Acceso remoto con Anydesk
Una de las principales características de AvosLocker es que usa la herramienta de administración de TI remota AnyDesk y la ejecuta en modo seguro de Windows. Esta opción fue utilizada por los grupos de ciberdelincuentes REvil, Snatch y BlackMatter como una forma de deshabilitar la seguridad y las herramientas de administración de TI de un objetivo.
Según Sophos esta forma de actuar se debe a que muchos productos de seguridad para equipos finales no se ejecutan en Modo seguro. Por si no lo sabéis, este modo es una configuración de diagnóstico especial de Windows en la que se deshabilitan la mayor parte de los controladores y software de terceros. En ese momento que están en modo seguro puede hacer que las máquinas protegidas no sean seguras.
Por otra parte, AnyDesk es una herramienta legítima de administración remota. En los últimos tiempos se ha convertido en una alternativa popular a TeamViewer entre los ciberdelincuentes, ya que ofrece la misma funcionalidad. Así, al ejecutar AnyDesk en modo seguro mientras está conectado a la red, permite al cibercriminal mantener el control de las máquinas infectadas. Según Peter Mackenzie, director de respuesta a incidentes en Sophos, aunque este ransomware utilice técnicas de otras bandas, describió el uso de este ransomware como simple, pero muy inteligente. Además añadió que aunque se copiaron algunas técnicas fue la primera vez que se instaló AnyDesk para el comando y control de las máquinas mientras se estaba en modo seguro. Los atacantes de AvosLocker reinician las máquinas en modo seguro para las etapas finales del ataque. Después modifican la configuración de arranque del modo seguro para permitir que AnyDesk se instale y ejecute.
Por último, es posible que los propietarios legítimos no puedan administrar de forma remota esa computadora si está configurada para ejecutar AnyDesk en modo seguro. Eso significa que un administrador va a necesitar acceso físico al ordenador infectado para administrarlo. Esto puede plantear graves problemas para una gran red de computadoras y servidores con Windows.
Otras técnicas que utiliza
Sophos ha detectado que AvosLocker ha usado unas técnicas interesantes. Una de ellas es que un componente de Linux apunta a los servidores del hipervisor VMware ESXi, al eliminar cualquier máquina virtual, y después encripta los archivos de la máquina virtual. En este momento Sophos está intentando averiguar cómo los ciberdelincuentes consiguieron las credenciales de administrador necesarias para habilitar ESX Shell o acceder al servidor.
También los atacantes utilizaron la herramienta de administración de TI PDQ Deploy, para mandar varios scripts por lotes de Windows a las máquinas objetivo, incluidos Love.bat, update.bat y lock.bat. Según ha averiguado Sophos, en aproximadamente cinco segundos:
- Estos scripts desactivan los productos de seguridad que pueden ejecutarse en modo seguro.
- Se desactiva Windows Defender.
- Permiten que la herramienta de administración remota AnyDesk del ciberdelincuente pueda ejecutarse en modo seguro.
- Configuran una nueva cuenta con detalles de inicio de sesión automático.
- Se conectan al controlador de dominio del objetivo para conseguir acceso remota y ejecutar el ejecutable del ransomware llamado update.exe.
Sophos advierte que este ransomware es un problema complicado de resolver. La razón es porque no solo hay que lidiar con el ransomware en sí, sino que también hay que luchar con cualquier puerta trasera que se haya establecido en la red objetivo.
Por último, hay que señalar los peligros de pagar un rescate de un ransomware ya que no tienes garantía de poder recuperar tus archivos ni que te vuelvan a atacar en poco tiempo.
Fuente obtenida de: https://www.redeszone.net/noticias/seguridad/ransomware-elude-defensas-pc/